केर्बरोस (प्रोटोकॉल): Difference between revisions
From Vigyanwiki
No edit summary |
|||
| (26 intermediate revisions by 4 users not shown) | |||
| Line 1: | Line 1: | ||
{{Short description|Computer authentication protocol}} | {{Short description|Computer authentication protocol}} | ||
{{About| | {{About|प्रोटोकॉल|अन्य उपयोग|केर्बरोस (बहुविकल्पी){{!}}केर्बरोस}} | ||
{{Infobox software | {{Infobox software | ||
| name = | | name = केर्बरोस | ||
| title = Kerberos | | title = Kerberos | ||
| logo = <!-- [[File: ]] --> | | logo = <!-- [[File: ]] --> | ||
| Line 9: | Line 9: | ||
| collapsible = | | collapsible = | ||
| author = | | author = | ||
| developer = [[ | | developer = [[मैसाचुसेट्स की प्रौद्योगिकी संस्था]] | ||
| released = <!-- {{Start date|YYYY|MM|DD|df=yes}} --> | | released = <!-- {{Start date|YYYY|MM|DD|df=yes}} --> | ||
| discontinued = | | discontinued = | ||
| Line 17: | Line 17: | ||
| latest preview date = <!-- {{Start date and age|YYYY|MM|DD|df=yes}} --> | | latest preview date = <!-- {{Start date and age|YYYY|MM|DD|df=yes}} --> | ||
| programming language = [[C (programming language)|C]] | | programming language = [[C (programming language)|C]] | ||
| operating system = [[ | | operating system = [[क्रॉस-प्लेटफॉर्म]] | ||
| platform = | | platform = | ||
| size = 8512k (source code) | | size = 8512k (source code) | ||
| language = | | language = | ||
| genre = [[ | | genre = [[प्रमाणीकरण प्रोटोकॉल]] | ||
| license = | | license = | ||
| website = {{URL|https://web.mit.edu/kerberos/}} | | website = {{URL|https://web.mit.edu/kerberos/}} | ||
}} | }} | ||
'''केर्बरोस''' | '''केर्बरोस''' [[ संगणक संजाल |कंप्यूटर-नेटवर्क]] [[प्रमाणीकरण]] [[क्रिप्टोग्राफ़िक प्रोटोकॉल]] है जो अन्य-सुरक्षित नेटवर्क पर संचार करने वाले [[नोड (नेटवर्किंग)]] को सुरक्षित विधि से स्वयं की पहचान प्रमाणित करने की अनुमति देने के लिए टिकटों के आधार पर कार्य करता है। इसके डिजाइनरों ने इसे मुख्य रूप से उपयोगकर्ता-सर्वर मॉडल पर लक्षित किया है, एवं यह [[पारस्परिक प्रमाणीकरण]] प्रदान करता है, उपयोगकर्ता एवं सर्वर दोनों एक-दूसरे की पहचान को सत्यापित करते हैं। केर्बरोस प्रोटोकॉल संदेश, गोपनीय रूप से वार्तालाप सुनने एवं रिप्ले अटैक से सुरक्षित रहते हैं। | ||
केर्बरोस [[सममित-कुंजी क्रिप्टोग्राफी]] पर बनाता है एवं इसके लिए [[विश्वसनीय तृतीय पक्ष]] की आवश्यकता होती है, एवं वैकल्पिक रूप से प्रमाणीकरण के कुछ चरणों के समय [[सार्वजनिक-कुंजी क्रिप्टोग्राफी]] का उपयोग कर सकता है।<ref name="rfc4556">RFC 4556, abstract.</ref> केर्बरोस डिफ़ॉल्ट रूप से यूडीपी पोर्ट 88 का उपयोग करता है। | केर्बरोस [[सममित-कुंजी क्रिप्टोग्राफी]] पर बनाता है एवं इसके लिए [[विश्वसनीय तृतीय पक्ष]] की आवश्यकता होती है, एवं वैकल्पिक रूप से प्रमाणीकरण के कुछ चरणों के समय [[सार्वजनिक-कुंजी क्रिप्टोग्राफी]] का उपयोग कर सकता है।<ref name="rfc4556">RFC 4556, abstract.</ref> केर्बरोस डिफ़ॉल्ट रूप से यूडीपी पोर्ट 88 का उपयोग करता है। | ||
प्रोटोकॉल का नाम ग्रीक पौराणिक कथाओं के चरित्र [[Cerberus|सेर्बेरस]] के नाम पर रखा गया था, जो | प्रोटोकॉल का नाम ग्रीक पौराणिक कथाओं के चरित्र [[Cerberus|सेर्बेरस]] के नाम पर रखा गया था, जो हैडिस का क्रूर तीन सिर वाला रक्षक कुत्ता था।<ref>{{Cite web |title=केर्बरोस प्रमाणीकरण|url=https://www.ionos.com/digitalguide/server/security/kerberos/ |access-date=2022-08-25 |website=IONOS Digitalguide |language=en}}</ref> | ||
== इतिहास एवं विकास == | == इतिहास एवं विकास == | ||
[[मैसाचुसेट्स की तकनीकी संस्था]] (एमआईटी) ने [[प्रोजेक्ट एथेना]] द्वारा प्रदान की गई नेटवर्क सेवाओं की सुरक्षा के लिए 1988 में केर्बरोस विकसित | [[मैसाचुसेट्स की तकनीकी संस्था]] (एमआईटी) ने [[प्रोजेक्ट एथेना|परियोजना एथेना]] द्वारा प्रदान की गई नेटवर्क सेवाओं की सुरक्षा के लिए 1988 में केर्बरोस विकसित किया गया।{{Sfn|Garman|2003|p=5}}<ref name="Athena Network Services">{{cite conference |title=एथेना पर्यावरण में नेटवर्क सेवाएँ|first1=Jennifer G. |last1=Steiner |first2=Daniel E. |last2=Geer |date=21 July 1988 |conference=Proceedings of the Winter 1988 Usenix Conference |citeseerx=10.1.1.31.8727 }}</ref> इसका प्रथम संस्करण मुख्य रूप से स्टीवन पी. मिलर (सॉफ्टवेयर डिजाइनर) एवं [[ क्लिफ़ोर्ड न्यूमैन |क्लिफ़ोर्ड न्यूमैन]] द्वारा पूर्व के नीधम-श्रोएडर सममित-कुंजी प्रोटोकॉल के आधार पर डिजाइन किया गया था।<ref>{{cite conference |last1=Steiner |first1=Jennifer G. |last2=Neuman |first2=Clifford |last3=Schiller |first3=Jeffrey I. |title=''Kerberos'': An authentication service for open network systems |conference=Proceedings of the Winter 1988 USENIX Conference |date=February 1988 |citeseerx=10.1.1.112.9002 |s2cid=222257682 }}</ref><ref name="Building Internet Firewalls">{{cite book |title=Building Internet Firewalls: Internet and Web Security |url=https://archive.org/details/buildinginternet00zwic |url-access=registration |author=Elizabeth D. Zwicky |author2=Simon Cooper |author3=D. Brent |date=26 Jun 2000 |publisher=O'Reilly |isbn=9781565928718}}</ref> केर्बरोस संस्करण 1 से 3 प्रायोगिक थे एवं एमआईटी के बाहर प्रस्तावित नहीं किए गए थे।{{Sfn|Garman|2003|p=7}} | ||
केर्बरोस संस्करण 4, | केर्बरोस संस्करण 4, प्रथम सार्वजनिक संस्करण, 24 जनवरी 1989 को प्रस्तावित किया गया था। चूंकि केर्बरोस 4 को संयुक्त राज्य अमेरिका में विकसित किया गया था, एवं चूंकि इसमें [[डेटा एन्क्रिप्शन मानक]] (डीईएस) [[एन्क्रिप्शन एल्गोरिथम]] का उपयोग किया गया था, इसलिए अमेरिकी निर्यात नियंत्रण प्रतिबंधों ने इसे अन्य देशों में निर्यात होने से बाध्य कर दिया था। एमआईटी ने सभी एन्क्रिप्शन कोड रिमूव करके केर्बरोस 4 का निर्यात योग्य संस्करण बनाया,{{Sfn|Garman|2003|p=7}} जिसे बोन्स कहा जाता है।{{Sfn|Pröhl|Kobras|2022|p=7}} ऑस्ट्रेलिया के [[ बॉन्ड विश्वविद्यालय |बॉन्ड विश्वविद्यालय]] के एरिक यंग ने डीईएस को ईबोन्स नामक संस्करण में बोन्स में पुनः कार्यान्वित किया, जिसे किसी भी देश में स्वतंत्र रूप से उपयोग किया जा सकता है। स्वीडन के [[रॉयल इंस्टीट्यूट ऑफ टेक्नोलॉजी]] ने केटीएच-केआरबी नामक कार्यान्वयन प्रस्तावित किया।{{Sfn|Garman|2003|pp=7-8}} | ||
न्यूमैन एवं जॉन कोहल ने | न्यूमैन एवं जॉन कोहल ने उपस्थित सीमाओं एवं सुरक्षा समस्याओं पर नियंत्रण करने की योजना से 1993 में संस्करण 5 प्रकाशित किया। संस्करण 5 आरएफसी 1510 के रूप में प्रस्तुत हुआ, जिसे 2005 में आरएफसी 4120 द्वारा अप्रचलित कर दिया गया था। | ||
2005 में, [[इंटरनेट इंजीनियरिंग टास्क फोर्स]] ( | 2005 में, [[इंटरनेट इंजीनियरिंग टास्क फोर्स]] (आईईटीएफ) केर्बरोस वर्किंग ग्रुप ने विशिष्टताओं को अपडेट किया जिसमें निम्नलिखित अपडेट सम्मिलित हैं: | ||
* एन्क्रिप्शन एवं चेकसम विशिष्टताएँ (आरएफसी 3961) | * एन्क्रिप्शन एवं चेकसम विशिष्टताएँ (आरएफसी 3961) है। | ||
* केर्बरोस 5 (आरएफसी 3962) के लिए [[उच्च एन्क्रिप्शन मानक]] (एईएस) | * केर्बरोस 5 (आरएफसी 3962) के लिए [[उच्च एन्क्रिप्शन मानक]] (एईएस) एन्क्रिप्शन है। | ||
* केर्बरोस V5 विनिर्देशन का | * केर्बरोस V5 विनिर्देशन का नया संस्करण केर्बरोस नेटवर्क प्रमाणीकरण सेवा (V5) (आरएफसी 4120) है। यह संस्करण आरएफसी 1510 को अप्रचलित करता है, प्रोटोकॉल के रूपों, अधिक विस्तृत एवं स्पष्टीकरण में इच्छित उपयोग को स्पष्ट करता है। | ||
* जेनेरिक सिक्योरिटी सर्विसेज एप्लीकेशन प्रोग्राम इंटरफेस (जीएसएस-एपीआई) विनिर्देशन का | * जेनेरिक सिक्योरिटी सर्विसेज एप्लीकेशन प्रोग्राम इंटरफेस (जीएसएस-एपीआई) विनिर्देशन का नया संस्करण केर्बरोस संस्करण 5 [[ सामान्य सुरक्षा सेवाएँ अनुप्रयोग प्रोग्राम इंटरफ़ेस |सामान्य सुरक्षा सेवाएँ एप्लीकेशन प्रोग्राम इंटरफेस]] (जीएसएस-एपीआई) क्रियाविधि संस्करण 2 (आरएफसी 4121) है। | ||
एमआईटी, [[बीएसडी लाइसेंस]] के लिए उपयोग की जाने वाली कॉपीराइट अनुमतियों के | एमआईटी, [[बीएसडी लाइसेंस|बीएसडी]] के लिए उपयोग की जाने वाली कॉपीराइट अनुमतियों के अनुसार, केर्बरोस कार्यान्वयन को निःशुल्क उपलब्ध कराता है। 2007 में, एमआईटी ने निरंतर विकास को प्रोत्साहन देने के लिए केर्बरोस कंसोर्टियम का गठन किया गया था। संस्थापक प्रायोजकों में [[Oracle Corporation|ओरेकल कॉर्पोरेशन]], एप्पल आईएनसी., [[Microsoft|गूगल, माइक्रोसॉफ्ट]], केन्द्रीकृत निगम एवं टीमएफ1 आईएनसी. जैसे विक्रेता एवं स्वीडन में रॉयल इंस्टीट्यूट ऑफ टेक्नोलॉजी, स्टैनफोर्ड यूनिवर्सिटी, एमआईटी जैसे शैक्षणिक संस्थान एवं साइबरसेफ प्रस्तुत करने वाले साइबरसेफ जैसे विक्रेता सम्मिलित हैं। | ||
==प्रोटोकॉल== | ==प्रोटोकॉल == | ||
===विवरण=== | ===विवरण=== | ||
उपयोगकर्ता स्वयं को प्रमाणीकरण सर्वर (एएस) से प्रमाणित करता है जो उपयोगकर्ता नाम को [[कुंजी वितरण केंद्र]] (केडीसी) को अग्रेषित करता है। केडीसी टिकट-अनुदान, टिकट (टीजीटी) प्रस्तावित करता है, जिस पर समय अंकित होता है एवं टिकट-अनुदान सेवा (टीजीएस) की गुप्त कुंजी का उपयोग करके इसे एन्क्रिप्ट करता है एवं एन्क्रिप्टेड परिणाम को उपयोगकर्ता के कार्य केंद्र पर रिटर्न करता है। यह सामान्यतः उपयोगकर्ता लॉगऑन पर कभी-कभी ही किया जाता है; टीजीटी किसी बिंदु पर समाप्त हो जाती है, चूंकि इसे उपयोगकर्ता के सेशन प्रबंधक द्वारा लॉग इन करते समय पारदर्शी रूप से नवीनीकृत किया जा सकता है। | |||
जब ग्राहक को किसी अन्य नोड (केर्बरोस भाषा में | जब ग्राहक को किसी अन्य नोड (केर्बरोस भाषा में प्रिंसिपल) पर सेवा के साथ संचार करने की आवश्यकता होती है, तो ग्राहक टीजीटी को टीजीएस पर भेजता है, जो सामान्यतः केडीसी के समान होस्ट शियर करता है। सेवा पूर्व से ही टीजीएस के साथ सर्विस प्रिंसिपल नेम (एसपीएन) के साथ पंजीकृत होनी चाहिए। उपयोगकर्ता इस सेवा के एक्सेस का अनुरोध करने के लिए एसपीएन का उपयोग करता है। यह सत्यापित करने के पश्चात कि टीजीटी वैध है एवं उपयोगकर्ता को अनुरोधित सेवा के एक्सेस की अनुमति है, टीजीएस ग्राहक को टिकट एवं सेशन कुंजी प्रस्तावित करता है। इसके पश्चात उपयोगकर्ता अपने सेवा अनुरोध के साथ टिकट को सर्विस सर्वर (एसएस) को भेजता है। | ||
[[File:Kerberos protocol.svg|thumb|680x680px|केर्बरोस वार्ता]]प्रोटोकॉल का नीचे विस्तार से वर्णन किया गया है। | [[File:Kerberos protocol.svg|thumb|680x680px|केर्बरोस वार्ता]]प्रोटोकॉल का नीचे विस्तार से वर्णन किया गया है। | ||
'''केर्बरोस के बिना उपयोगकर्ता | '''केर्बरोस के बिना उपयोगकर्ता-आधारित लॉगिन''' | ||
# | # [[क्लाइंट (कंप्यूटिंग)|उपयोगकर्ता (कंप्यूटिंग)]] मशीन पर उपयोगकर्ता नाम एवं पासवर्ड अंकित करता है। अन्य क्रेडेंशियल प्रणाली जैसे पीकिनिट (आरएफसी 4556) पासवर्ड के स्थान पर सार्वजनिक कुंजी के उपयोग की अनुमति देते हैं। उपयोगकर्ता पासवर्ड को सममित सिफर की कुंजी में परिवर्तित कर देता है। यह या तो अंतर्निहित [[कुंजी शेड्यूलिंग]] का उपयोग करता है, अथवा एकपक्षीय हैश का उपयोग करता है, जो उपयोग किए गए [[ सिफर सुइट |सिफर सूट]] पर निर्भर करता है। | ||
#सर्वर उपयोगकर्ता नाम एवं सममित सिफर प्राप्त करता है एवं डेटाबेस से डेटा के साथ इसकी तुलना करता है। यदि सिफर उपयोगकर्ता के लिए संग्रहीत सिफर से | #सर्वर उपयोगकर्ता नाम एवं सममित सिफर प्राप्त करता है एवं डेटाबेस से डेटा के साथ इसकी तुलना करता है। यदि सिफर उपयोगकर्ता के लिए संग्रहीत सिफर से युग्मित होता है तो लॉगिन सफल था। | ||
====ग्राहक प्रमाणीकरण==== | ====ग्राहक प्रमाणीकरण==== | ||
# | # उपयोगकर्ता की ओर से सेवाओं का अनुरोध करते हुए एएस (प्रमाणीकरण सर्वर) को उपयोगकर्ता आईडी का [[स्पष्ट पाठ|क्लेअरटेक्सट]] संदेश भेजता है। (नोट: एएस को न तो गुप्त कुंजी एवं न ही पासवर्ड भेजा जाता है।) | ||
# | # एएस यह देखने के लिए परिक्षण करता है कि उपयोगकर्ता उसके डेटाबेस में है या नहीं है। यदि ऐसा है, तो एएस डेटाबेस में प्राप्त हुए उपयोगकर्ता के पासवर्ड को हैश करके गुप्त कुंजी उत्पन्न करता है (उदाहरण के लिए, विंडोज सर्वर में [[सक्रिय निर्देशिका]]) एवं उपयोगकर्ता को निम्नलिखित दो संदेश पुनः भेजता है: | ||
#* संदेश | #* संदेश A: उपयोगकर्ता/टीजीएस सेशन कुंजी उपयोगकर्ता की गुप्त कुंजी का उपयोग करके एन्क्रिप्ट किया गया। | ||
#* संदेश | #* संदेश B: टिकट-अनुदान-टिकट (टीजीटी, जिसमें उपयोगकर्ता आईडी, उपयोगकर्ता [[नेटवर्क पता|नेटवर्क एड्रेस]], टिकट वैधता अवधि एवं उपयोगकर्ता/टीजीएस सेशन कुंजी सम्मिलित है) टीजीएस की गुप्त कुंजी का उपयोग करके एन्क्रिप्ट किया गया है। | ||
# | # जब उपयोगकर्ता को संदेश A एवं B प्राप्त हो जाता है, तो वह उपयोगकर्ता द्वारा अंकित किए गए पासवर्ड से उत्पन्न गुप्त कुंजी के साथ संदेश A को डिक्रिप्ट करने का प्रयत्न करता है। यदि उपयोगकर्ता द्वारा अंकित किया गया पासवर्ड एएस डेटाबेस में पासवर्ड से युग्मित नहीं होता है, तो उपयोगकर्ता की गुप्त कुंजी भिन्न होगी एवं संदेश A को डिक्रिप्ट करने में असमर्थ होगी। वैध पासवर्ड एवं गुप्त कुंजी के साथ उपयोगकर्ता/टीजीएस सेशन कुंजी प्राप्त करने के लिए संदेश A को डिक्रिप्ट करता है। इस सेशन कुंजी का उपयोग टीजीएस के साथ अग्र संचार के लिए किया जाता है। (नोट: उपयोगकर्ता संदेश B को डिक्रिप्ट नहीं कर सकता, क्योंकि यह टीजीएस की गुप्त कुंजी का उपयोग करके एन्क्रिप्ट किया गया है।) इस बिंदु पर, उपयोगकर्ता के निकट टीजीएस को प्रमाणित करने के लिए पर्याप्त इनफार्मेशन होती है। | ||
====ग्राहक सेवा प्राधिकरण==== | ====ग्राहक सेवा प्राधिकरण==== | ||
# सेवाओं का अनुरोध करते समय, ग्राहक टीजीएस को निम्नलिखित संदेश भेजता है: | # सेवाओं का अनुरोध करते समय, ग्राहक टीजीएस को निम्नलिखित संदेश भेजता है: | ||
#* संदेश | #* संदेश C: संदेश B (टीजीएस गुप्त कुंजी का उपयोग करके एन्क्रिप्टेड टीजीटी) एवं अनुरोधित सेवा की आईडी से बना है। | ||
#* संदेश | #* संदेश D: प्रमाणक (जो उपयोगकर्ता आईडी एवं टाइमस्टैम्प से बना है), उपयोगकर्ता/टीजीएस सेशन कुंजी (संदेश A में उपयोगकर्ता द्वारा पाया गया) का उपयोग करके एन्क्रिप्ट किया गया है। | ||
# संदेश | # संदेश C एवं D प्राप्त करने पर, टीजीएस संदेश C से संदेश B को पुनः प्राप्त करता है। यह टीजीएस गुप्त कुंजी का उपयोग करके संदेश B को डिक्रिप्ट करता है। यह इसे उपयोगकर्ता/टीजीएस सेशन कुंजी एवं उपयोगकर्ता आईडी (दोनों टीजीटी में हैं) देता है। इस उपयोगकर्ता/टीजीएस सेशन कुंजी का उपयोग करके, टीजीएस संदेश D (प्रमाणक) को डिक्रिप्ट करता है एवं संदेश B एवं D से उपयोगकर्ता आईडी की तुलना करता है; यदि वे युग्मित होते हैं, तो सर्वर उपयोगकर्ता को निम्नलिखित दो संदेश भेजता है: | ||
#* संदेश | #* संदेश E: यूजर-टू-सर्वर टिकट (जिसमें उपयोगकर्ता आईडी, उपयोगकर्ता नेटवर्क एड्रेस, वैधता अवधि एवं उपयोगकर्ता/सर्वर सेशन कुंजी सम्मिलित है) सेवा की गुप्त कुंजी का उपयोग करके एन्क्रिप्ट किया गया है। | ||
#* संदेश | #* संदेश F: उपयोगकर्ता/सर्वर सेशन कुंजी उपयोगकर्ता/टीजीएस सेशन कुंजी के साथ एन्क्रिप्टेड है। | ||
====ग्राहक सेवा अनुरोध==== | ====ग्राहक सेवा अनुरोध==== | ||
# टीजीएस से | # टीजीएस से E एवं F संदेश प्राप्त करने पर, ग्राहक के निकट सेवा सर्वर (एसएस) पर स्वयं को प्रमाणित करने के लिए पर्याप्त इनफार्मेशन होती है। उपयोगकर्ता एसएस से जुड़ता है एवं निम्नलिखित दो संदेश भेजता है: | ||
#* संदेश | #* संदेश E: पूर्व चरण से (यूजर-टू-सर्वर टिकट, टीजीएस द्वारा सेवा की गुप्त कुंजी का उपयोग करके एन्क्रिप्ट किया गया)। | ||
#* संदेश | #* संदेश G: नया प्रमाणक, जिसमें उपयोगकर्ता आईडी, टाइमस्टैम्प सम्मिलित है एवं उपयोगकर्ता/सर्वर सेशन कुंजी का उपयोग करके एन्क्रिप्ट किया गया है। | ||
# एसएस | # एसएस उपयोगकर्ता/सर्वर सेशन कुंजी को पुनः प्राप्त करने के लिए अपनी गुप्त कुंजी का उपयोग करके टिकट (संदेश E) को डिक्रिप्ट करता है। सेशन कुंजी का उपयोग करते हुए, एसएस प्रमाणक को डिक्रिप्ट करता है एवं संदेश E एवं G से उपयोगकर्ता आईडी की तुलना करता है, यदि वे युग्मित होते हैं तो सर्वर उपयोगकर्ता को उसकी वास्तविक पहचान एवं ग्राहक की सेवा करने की इच्छा की पुष्टि करने के लिए निम्नलिखित संदेश भेजता है। | ||
#* संदेश | #* संदेश H: उपयोगकर्ता के प्रमाणक में पाया गया टाइमस्टैम्प (संस्करण 4 में प्लस 1, किन्तु संस्करण 5 में आवश्यक नहीं है)<ref>{{cite journal|url=https://tools.ietf.org/html/rfc1510#section-3.2.4|title=The Kerberos Network Authentication Service (V5)|first1=Neuman|last1=C.|first2=Kohl|last2=J.|year=1993 |doi=10.17487/RFC1510 |url-status=live|archive-url=https://web.archive.org/web/20160821221402/https://tools.ietf.org/html/rfc1510#section-3.2.4|archive-date=2016-08-21|doi-access=free}}</ref><ref>{{cite journal|url=https://tools.ietf.org/html/rfc4120#section-3.2.4|title=The Kerberos Network Authentication Service (V5)|first1=Neuman|last1=Clifford|first2=Hartman|last2=Sam|first3=Yu|last3=Tom|first4=Raeburn|last4=Kenneth|year=2005 |doi=10.17487/RFC4120 |url-status=live|archive-url=https://web.archive.org/web/20160821232023/https://tools.ietf.org/html/rfc4120#section-3.2.4|archive-date=2016-08-21}}</ref>), उपयोगकर्ता/सर्वर सेशन कुंजी का उपयोग करके एन्क्रिप्ट किया गया है। | ||
# | # उपयोगकर्ता/सर्वर सेशन कुंजी का उपयोग करके पुष्टिकरण (संदेश H) को डिक्रिप्ट करता है एवं परिक्षण करता है कि टाइमस्टैम्प उचित है या नहीं। यदि ऐसा है, तो उपयोगकर्ता सर्वर पर विश्वास कर सकता है एवं सर्वर को सेवा अनुरोध प्रस्तावित करना प्रारम्भ कर सकता है। | ||
# सर्वर | # सर्वर उपयोगकर्ता को अनुरोधित सेवाएँ प्रदान करता है। | ||
==ऑपरेटिंग | ==ऑपरेटिंग प्रणाली द्वारा समर्थन == | ||
===माइक्रोसॉफ्ट विंडोज़=== | ===माइक्रोसॉफ्ट विंडोज़=== | ||
[[Windows 2000]] एवं | [[Windows 2000|विंडोज़ 2000]] एवं उसके पश्चात के संस्करण डिफ़ॉल्ट प्रमाणीकरण विधि के रूप में केर्बरोस का उपयोग करते हैं।<ref name="MSTN-Kerberos-Auth">{{cite web|url=https://technet.microsoft.com/pt-br/library/cc780469(v=ws.10).aspx|title=What Is Kerberos Authentication?|publisher=Microsoft TechNet|url-status=live|archive-url=https://web.archive.org/web/20161220084434/https://technet.microsoft.com/pt-br/library/cc780469(v=ws.10).aspx|archive-date=2016-12-20}}</ref> केर्बरोस प्रोटोकॉल सुइट में कुछ माइक्रोसॉफ्ट परिवर्धन आरएफसी 3244 माइक्रोसॉफ्ट विंडोज़ 2000 केर्बरोस परिवर्तित पासवर्ड एवं सेट पासवर्ड प्रोटोकॉल में प्रलेखित हैं। आरएफसी 4757 माइक्रोसॉफ्ट द्वारा [[RC4|आरसी4]] सिफर के उपयोग का प्रपत्रीकरण करता है। जबकि माइक्रोसॉफ्ट केर्बरोस प्रोटोकॉल का उपयोग एवं विस्तार करता है, यह एमआईटी सॉफ़्टवेयर का उपयोग नहीं करता है। | ||
केर्बरोस को | केर्बरोस को रुचिकर प्रमाणीकरण विधि के रूप में उपयोग किया जाता है: सामान्यतः, किसी उपयोगकर्ता को विंडोज़ डोमेन से संयोजित करने का अर्थ है उस उपयोगकर्ता से विंडोज़ डोमेन में सेवाओं एवं उस डोमेन के साथ विश्वास संबंधों वाले सभी डोमेन के प्रमाणीकरण के लिए डिफ़ॉल्ट प्रोटोकॉल के रूप में केर्बरोस को सक्षम करना है।<ref name="MSTN-Kerberos-Auth"/> | ||
इसके विपरीत, जब | इसके विपरीत, जब उपयोगकर्ता या सर्वर या दोनों डोमेन से संयोजित नहीं होते हैं (या विश्वसनीय डोमेन वातावरण का भाग नहीं होते हैं), तो विंडोज़ उपयोगकर्ता एवं सर्वर के मध्य प्रमाणीकरण के लिए [[एनटीएलएम]] का उपयोग करेगा।<ref name="MSTN-Kerberos-Auth"/> | ||
इंटरनेट वेब एप्लिकेशन [[एसएसपीआई]] के | इंटरनेट वेब एप्लिकेशन [[एसएसपीआई]] के अनुसार प्रदान किए गए एपीआई का उपयोग करके डोमेन से संयोजित ग्राहकों के लिए प्रमाणीकरण विधि के रूप में केर्बरोस को प्रस्तावित कर सकते हैं। | ||
माइक्रोसॉफ्ट विंडोज एवं विंडोज सर्वर | माइक्रोसॉफ्ट विंडोज एवं विंडोज सर्वर में {{Mono|setspn}} [[कमांड लाइन इंटरफेस]] उपयोगिता सम्मिलित हैं, जिसका उपयोग सक्रिय निर्देशिका सेवा अकाउंट के लिए सर्विस प्रिंसिपल नेम्स (एसपीएन) को पढ़ने, संशोधित करने या विस्थापित करने के लिए किया जा सकता है।<ref>[https://ss64.com/nt/setspn.html Setspn - Windows CMD - SS64.com]</ref><ref>[https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/cc731241(v=ws.11) Setspn | Microsoft Docs]</ref> | ||
'''यूनिक्स एवं अन्य ऑपरेटिंग सिस्टम''' | '''यूनिक्स एवं अन्य ऑपरेटिंग सिस्टम''' | ||
फ्रीबीएसडी, [[ओपनबीएसडी]], एप्पल के मैकओएस, [[रेड हैट एंटरप्राइज लिनक्स]], [[सन माइक्रोसिस्टम्स]] के [[सोलारिस (ऑपरेटिंग सिस्टम)]], आईबीएम के | फ्रीबीएसडी, [[ओपनबीएसडी]], एप्पल के मैकओएस, [[रेड हैट एंटरप्राइज लिनक्स]], [[सन माइक्रोसिस्टम्स]] के [[सोलारिस (ऑपरेटिंग सिस्टम)|सोलारिस (ऑपरेटिंग प्रणाली)]], आईबीएम के एआईएक्स, [[एचपी-यूएक्स]] एवं अन्य सहित कई यूनिक्स जैसे ऑपरेटिंग सिस्टम में उपयोगकर्ताओं या सेवाओं के केर्बरोस प्रमाणीकरण के लिए सॉफ्टवेयर सम्मिलित हैं। विभिन्न गैर-यूनिक्स जैसे ऑपरेटिंग सिस्टम जैसे जेड/ओएस, [[IBM i|आईबीएम आई]] एवं [[OpenVMS|ओपनवीएमएस]] में भी केर्बरोस समर्थन की सुविधा होती है। एम्बेडेड प्लेटफ़ॉर्म पर रन करने वाले उपयोगकर्ता एजेंटों एवं नेटवर्क सेवाओं के लिए केर्बरोस वी प्रमाणीकरण प्रोटोकॉल का एंबेडेड कार्यान्वयन भी कंपनियों से उपलब्ध है। | ||
== | ==अभाव एवं सीमाएँ== | ||
* केर्बरोस में समय की | * केर्बरोस में समय की कठोर आवश्यकताएं हैं, जिसका अर्थ है कि सम्मिलित आतिथ्य की घड़ियों को कॉन्फ़िगर की गई सीमाओं के भीतर सिंक्रनाइज़ किया जाना चाहिए। टिकटों की समय उपलब्धता अवधि होती है, एवं यदि होस्ट घड़ी केर्बरोस सर्वर घड़ी के साथ सिंक्रनाइज़ नहीं है, तो प्रमाणीकरण विफल हो जाएगा। [http://web.mit.edu/Kerberos/krb5-1.5/krb5-1.5.4/doc/krb5-admin/Clock-Skew.html प्रति एमआईटी] डिफ़ॉल्ट कॉन्फ़िगरेशन के लिए आवश्यक है कि घड़ी के समय में पाँच मिनट से अधिक का अंतर न हो। व्यवहार में, [[नेटवर्क टाइम प्रोटोकॉल]] डेमॉन का उपयोग सामान्यतः होस्ट घड़ियों को सिंक्रनाइज़ रखने के लिए किया जाता है। ध्यान दें कि कुछ सर्वर (माइक्रोसॉफ्ट का कार्यान्वयन उनमें से है) एन्क्रिप्टेड सर्वर समय वाला KRB_AP_ERR_SKEW परिणाम रिटर्न कर सकता है यदि दोनों घड़ियों में कॉन्फ़िगर किए गए अधिकतम मान से अधिक ऑफसेट है। उस स्थिति में, उपयोगकर्ता ऑफसेट शोध करने के लिए दिए गए सर्वर समय का उपयोग करके तथा समय की गणना करके पुनः प्रयत्न कर सकता है। यह व्यवहार [https://datatracker.ietf.org/doc/html/rfc4430 आरएफसी 4430] में प्रलेखित है। | ||
* प्रशासन प्रोटोकॉल मानकीकृत नहीं है एवं सर्वर कार्यान्वयन के | * प्रशासन प्रोटोकॉल मानकीकृत नहीं है एवं सर्वर कार्यान्वयन के मध्य भिन्न है। पासवर्ड परिवर्तन आरएफसी 3244 में वर्णित हैं। | ||
* सममित क्रिप्टोग्राफी | * सममित क्रिप्टोग्राफी स्वीकार करने के विषय में (केर्बरोस सममित या असममित (सार्वजनिक-कुंजी) क्रिप्टोग्राफी का उपयोग करके कार्य कर सकता है, क्योंकि सभी प्रमाणीकरण केंद्रीकृत कुंजी वितरण केंद्र (केडीसी) द्वारा नियंत्रित होते हैं, इस प्रमाणीकरण मूलभूत संरचना से निराकरण करने से आक्रमणकारी को किसी भी उपयोगकर्ता का प्रतिरूपण करने की अनुमति देगा। | ||
* प्रत्येक नेटवर्क सेवा जिसे | * प्रत्येक नेटवर्क सेवा जिसे भिन्न होस्ट नाम की आवश्यकता होती है, उसे केर्बरोस कुंजियों के अपने सेट की आवश्यकता होगी। यह वर्चुअल होस्टिंग एवं क्लस्टर को समष्टि बनाता है। | ||
* केर्बरोस को केर्बरोस टोकन सर्वर के साथ विश्वसनीय संबंध रखने के लिए उपयोगकर्ता | * केर्बरोस को केर्बरोस टोकन सर्वर के साथ विश्वसनीय संबंध रखने के लिए उपयोगकर्ता अकाउंट एवं सेवाओं की आवश्यकता होती है। | ||
* आवश्यक क्लाइंट ट्रस्ट चरणबद्ध वातावरण (उदाहरण के लिए, परीक्षण वातावरण, प्री-प्रोडक्शन वातावरण एवं उत्पादन वातावरण के लिए | * आवश्यक क्लाइंट ट्रस्ट चरणबद्ध वातावरण (उदाहरण के लिए, परीक्षण वातावरण, प्री-प्रोडक्शन वातावरण एवं उत्पादन वातावरण के लिए भिन्न डोमेन) बनाना कठिन करता है: या तो डोमेन ट्रस्ट संबंध बनाने की आवश्यकता होती है जो पर्यावरण डोमेन की पृथकता को बाधित करती है अथवा अतिरिक्त उपयोगकर्ता की आवश्यकता होती है प्रत्येक पर्यावरण के लिए प्रदान किया जाना है। | ||
==सुरक्षा== | ==सुरक्षा== | ||
डेटा एन्क्रिप्शन स्टैंडर्ड (डीईएस) सिफर का उपयोग केर्बरोस के साथ संयोजन में किया जा सकता है, | डेटा एन्क्रिप्शन स्टैंडर्ड (डीईएस) सिफर का उपयोग केर्बरोस के साथ संयोजन में किया जा सकता है, किन्तु यह अब इंटरनेट मानक नहीं है क्योंकि यह शक्तिहीन है।<ref>{{cite journal|url=https://tools.ietf.org/html/rfc6649|title=Deprecate DES, RC4-HMAC-EXP, and Other Weak Cryptographic Algorithms in Kerberos|first1=Yu|last1=Tom|first2=Astrand|last2=Love|year=2012 |doi=10.17487/RFC6649 |url-status=live|archive-url=https://web.archive.org/web/20151027034313/http://tools.ietf.org/html/rfc6649|archive-date=2015-10-27}}</ref> सुरक्षा दुर्बलता उन उत्पादों में उपस्थित हैं जो कर्बेरोस के पूर्व संस्करणों को प्रस्तावित करते हैं जिनमें एईएस जैसे नए एन्क्रिप्शन सिफर के लिए समर्थन का आभाव है। | ||
==यह भी देखें== | ==यह भी देखें== | ||
{{Portal|Free and open-source software}} | {{Portal|Free and open-source software}} | ||
* [[केवल हस्ताक्षर के ऊपर]] | * [[केवल हस्ताक्षर के ऊपर|एकल]] [[केवल हस्ताक्षर के ऊपर|साइन-ऑन]] | ||
* [[पहचान प्रबंधन]] | * [[पहचान प्रबंधन]] | ||
*[[SPNEGO]] | *[[SPNEGO|एसपीएनईजीओ]] | ||
* एस/कुंजी | * एस/कुंजी | ||
* [[सुरक्षित रिमोट पासवर्ड प्रोटोकॉल]] (एसआरपी) | * [[सुरक्षित रिमोट पासवर्ड प्रोटोकॉल]] (एसआरपी) | ||
* सामान्य सुरक्षा सेवा | * सामान्य सुरक्षा सेवा एप्लीकेशन प्रोग्राम इंटरफ़ेस (जीएसएस-एपीआई) | ||
* [[होस्ट आइडेंटिटी प्रोटोकॉल]] ( | * [[होस्ट आइडेंटिटी प्रोटोकॉल]] (एचआईपी) | ||
* [[एकल साइन-ऑन कार्यान्वयन की सूची]] | * [[एकल साइन-ऑन कार्यान्वयन की सूची|एकल साइन-ऑन कार्यान्वयन की सारिणी]] | ||
==संदर्भ== | ==संदर्भ== | ||
| Line 138: | Line 138: | ||
{{Refend}} | {{Refend}} | ||
; | ;आरएफसीs | ||
*{{IETF RFC|1510|link=no}} The केर्बरोस Network Authentication Service (V5) [Obsolete] | *{{IETF RFC|1510|link=no}} The केर्बरोस Network Authentication Service (V5) [Obsolete] | ||
*{{IETF RFC|1964|link=no}} The केर्बरोस Version 5 GSS-API Mechanism | *{{IETF RFC|1964|link=no}} The केर्बरोस Version 5 GSS-API Mechanism | ||
| Line 148: | Line 148: | ||
*{{IETF RFC|4556|link=no}} Public Key Cryptography for Initial Authentication in केर्बरोस (PKINIT) | *{{IETF RFC|4556|link=no}} Public Key Cryptography for Initial Authentication in केर्बरोस (PKINIT) | ||
*{{IETF RFC|4557|link=no}} Online Certificate Status Protocol (OCSP) Support for Public Key Cryptography for Initial Authentication in केर्बरोस (PKINIT) | *{{IETF RFC|4557|link=no}} Online Certificate Status Protocol (OCSP) Support for Public Key Cryptography for Initial Authentication in केर्बरोस (PKINIT) | ||
*{{IETF RFC|4757|link=no}} The RC4-HMAC केर्बरोस Encryption Types Used by | *{{IETF RFC|4757|link=no}} The RC4-HMAC केर्बरोस Encryption Types Used by माइक्रोसॉफ्ट Windows [Obsolete] | ||
*{{IETF RFC|5021|link=no}} Extended केर्बरोस Version 5 Key Distribution Center (KDC) Exchanges over TCP | *{{IETF RFC|5021|link=no}} Extended केर्बरोस Version 5 Key Distribution Center (KDC) Exchanges over TCP | ||
*{{IETF RFC|5349|link=no}} Elliptic Curve Cryptography (ECC) Support for Public Key Cryptography for Initial Authentication in केर्बरोस (PKINIT) | *{{IETF RFC|5349|link=no}} Elliptic Curve Cryptography (ECC) Support for Public Key Cryptography for Initial Authentication in केर्बरोस (PKINIT) | ||
| Line 227: | Line 227: | ||
* [https://github.com/heimdal/heimdal/wiki Heimdal/केर्बरोस implementation] | * [https://github.com/heimdal/heimdal/wiki Heimdal/केर्बरोस implementation] | ||
[[Category:Articles prone to spam from May 2019|Kerberos (Protocol)]] | |||
[[Category:Articles with hatnote templates targeting a nonexistent page|Kerberos (Protocol)]] | |||
[[Category:Articles with invalid date parameter in template|Kerberos (Protocol)]] | |||
[[Category:CS1 Deutsch-language sources (de)|Kerberos (Protocol)]] | |||
[[Category:CS1 English-language sources (en)|Kerberos (Protocol)]] | |||
[[Category:CS1 errors|Kerberos (Protocol)]] | |||
[[Category:Collapse templates|Kerberos (Protocol)]] | |||
[[Category: | [[Category:Commons category link is locally defined|Kerberos (Protocol)]] | ||
[[Category:Created On 10/07/2023|Kerberos (Protocol)]] | |||
[[Category:Lua-based templates|Kerberos (Protocol)]] | |||
[[Category:Machine Translated Page|Kerberos (Protocol)]] | |||
[[Category:Navigational boxes| ]] | |||
[[Category:Navigational boxes without horizontal lists|Kerberos (Protocol)]] | |||
[[Category:Pages with empty portal template|Kerberos (Protocol)]] | |||
[[Category:Pages with script errors|Kerberos (Protocol)]] | |||
[[Category:Portal templates with redlinked portals|Kerberos (Protocol)]] | |||
[[Category:Short description with empty Wikidata description|Kerberos (Protocol)]] | |||
[[Category:Sidebars with styles needing conversion|Kerberos (Protocol)]] | |||
[[Category:Template documentation pages|Documentation/doc]] | |||
[[Category:Templates Vigyan Ready|Kerberos (Protocol)]] | |||
[[Category:Templates generating microformats|Kerberos (Protocol)]] | |||
[[Category:Templates that add a tracking category|Kerberos (Protocol)]] | |||
[[Category:Templates that are not mobile friendly|Kerberos (Protocol)]] | |||
[[Category:Templates that generate short descriptions|Kerberos (Protocol)]] | |||
[[Category:Templates using TemplateData|Kerberos (Protocol)]] | |||
[[Category:Webarchive template wayback links|Kerberos (Protocol)]] | |||
[[Category:Wikipedia metatemplates|Kerberos (Protocol)]] | |||
[[Category:कंप्यूटर एक्सेस कंट्रोल प्रोटोकॉल|Kerberos (Protocol)]] | |||
[[Category:कंप्यूटर नेटवर्क सुरक्षा|Kerberos (Protocol)]] | |||
[[Category:प्रमाणीकरण प्रोटोकॉल|Kerberos (Protocol)]] | |||
[[Category:प्रमुख परिवहन प्रोटोकॉल|Kerberos (Protocol)]] | |||
[[Category:मैसाचुसेट्स इंस्टीट्यूट ऑफ टेक्नोलॉजी सॉफ्टवेयर|Kerberos (Protocol)]] | |||
[[Category:सममित-कुंजी एल्गोरिदम|Kerberos (Protocol)]] | |||
Latest revision as of 13:10, 1 November 2023
| Developer(s) | मैसाचुसेट्स की प्रौद्योगिकी संस्था |
|---|---|
| Stable release | Version 5, Release 1.21
/ 5 June 2023[1] |
| Written in | C |
| Operating system | क्रॉस-प्लेटफॉर्म |
| Size | 8512k (source code) |
| Type | प्रमाणीकरण प्रोटोकॉल |
| Website | web |
केर्बरोस कंप्यूटर-नेटवर्क प्रमाणीकरण क्रिप्टोग्राफ़िक प्रोटोकॉल है जो अन्य-सुरक्षित नेटवर्क पर संचार करने वाले नोड (नेटवर्किंग) को सुरक्षित विधि से स्वयं की पहचान प्रमाणित करने की अनुमति देने के लिए टिकटों के आधार पर कार्य करता है। इसके डिजाइनरों ने इसे मुख्य रूप से उपयोगकर्ता-सर्वर मॉडल पर लक्षित किया है, एवं यह पारस्परिक प्रमाणीकरण प्रदान करता है, उपयोगकर्ता एवं सर्वर दोनों एक-दूसरे की पहचान को सत्यापित करते हैं। केर्बरोस प्रोटोकॉल संदेश, गोपनीय रूप से वार्तालाप सुनने एवं रिप्ले अटैक से सुरक्षित रहते हैं।
केर्बरोस सममित-कुंजी क्रिप्टोग्राफी पर बनाता है एवं इसके लिए विश्वसनीय तृतीय पक्ष की आवश्यकता होती है, एवं वैकल्पिक रूप से प्रमाणीकरण के कुछ चरणों के समय सार्वजनिक-कुंजी क्रिप्टोग्राफी का उपयोग कर सकता है।[2] केर्बरोस डिफ़ॉल्ट रूप से यूडीपी पोर्ट 88 का उपयोग करता है।
प्रोटोकॉल का नाम ग्रीक पौराणिक कथाओं के चरित्र सेर्बेरस के नाम पर रखा गया था, जो हैडिस का क्रूर तीन सिर वाला रक्षक कुत्ता था।[3]
इतिहास एवं विकास
मैसाचुसेट्स की तकनीकी संस्था (एमआईटी) ने परियोजना एथेना द्वारा प्रदान की गई नेटवर्क सेवाओं की सुरक्षा के लिए 1988 में केर्बरोस विकसित किया गया।[4][5] इसका प्रथम संस्करण मुख्य रूप से स्टीवन पी. मिलर (सॉफ्टवेयर डिजाइनर) एवं क्लिफ़ोर्ड न्यूमैन द्वारा पूर्व के नीधम-श्रोएडर सममित-कुंजी प्रोटोकॉल के आधार पर डिजाइन किया गया था।[6][7] केर्बरोस संस्करण 1 से 3 प्रायोगिक थे एवं एमआईटी के बाहर प्रस्तावित नहीं किए गए थे।[8]
केर्बरोस संस्करण 4, प्रथम सार्वजनिक संस्करण, 24 जनवरी 1989 को प्रस्तावित किया गया था। चूंकि केर्बरोस 4 को संयुक्त राज्य अमेरिका में विकसित किया गया था, एवं चूंकि इसमें डेटा एन्क्रिप्शन मानक (डीईएस) एन्क्रिप्शन एल्गोरिथम का उपयोग किया गया था, इसलिए अमेरिकी निर्यात नियंत्रण प्रतिबंधों ने इसे अन्य देशों में निर्यात होने से बाध्य कर दिया था। एमआईटी ने सभी एन्क्रिप्शन कोड रिमूव करके केर्बरोस 4 का निर्यात योग्य संस्करण बनाया,[8] जिसे बोन्स कहा जाता है।[9] ऑस्ट्रेलिया के बॉन्ड विश्वविद्यालय के एरिक यंग ने डीईएस को ईबोन्स नामक संस्करण में बोन्स में पुनः कार्यान्वित किया, जिसे किसी भी देश में स्वतंत्र रूप से उपयोग किया जा सकता है। स्वीडन के रॉयल इंस्टीट्यूट ऑफ टेक्नोलॉजी ने केटीएच-केआरबी नामक कार्यान्वयन प्रस्तावित किया।[10]
न्यूमैन एवं जॉन कोहल ने उपस्थित सीमाओं एवं सुरक्षा समस्याओं पर नियंत्रण करने की योजना से 1993 में संस्करण 5 प्रकाशित किया। संस्करण 5 आरएफसी 1510 के रूप में प्रस्तुत हुआ, जिसे 2005 में आरएफसी 4120 द्वारा अप्रचलित कर दिया गया था।
2005 में, इंटरनेट इंजीनियरिंग टास्क फोर्स (आईईटीएफ) केर्बरोस वर्किंग ग्रुप ने विशिष्टताओं को अपडेट किया जिसमें निम्नलिखित अपडेट सम्मिलित हैं:
- एन्क्रिप्शन एवं चेकसम विशिष्टताएँ (आरएफसी 3961) है।
- केर्बरोस 5 (आरएफसी 3962) के लिए उच्च एन्क्रिप्शन मानक (एईएस) एन्क्रिप्शन है।
- केर्बरोस V5 विनिर्देशन का नया संस्करण केर्बरोस नेटवर्क प्रमाणीकरण सेवा (V5) (आरएफसी 4120) है। यह संस्करण आरएफसी 1510 को अप्रचलित करता है, प्रोटोकॉल के रूपों, अधिक विस्तृत एवं स्पष्टीकरण में इच्छित उपयोग को स्पष्ट करता है।
- जेनेरिक सिक्योरिटी सर्विसेज एप्लीकेशन प्रोग्राम इंटरफेस (जीएसएस-एपीआई) विनिर्देशन का नया संस्करण केर्बरोस संस्करण 5 सामान्य सुरक्षा सेवाएँ एप्लीकेशन प्रोग्राम इंटरफेस (जीएसएस-एपीआई) क्रियाविधि संस्करण 2 (आरएफसी 4121) है।
एमआईटी, बीएसडी के लिए उपयोग की जाने वाली कॉपीराइट अनुमतियों के अनुसार, केर्बरोस कार्यान्वयन को निःशुल्क उपलब्ध कराता है। 2007 में, एमआईटी ने निरंतर विकास को प्रोत्साहन देने के लिए केर्बरोस कंसोर्टियम का गठन किया गया था। संस्थापक प्रायोजकों में ओरेकल कॉर्पोरेशन, एप्पल आईएनसी., गूगल, माइक्रोसॉफ्ट, केन्द्रीकृत निगम एवं टीमएफ1 आईएनसी. जैसे विक्रेता एवं स्वीडन में रॉयल इंस्टीट्यूट ऑफ टेक्नोलॉजी, स्टैनफोर्ड यूनिवर्सिटी, एमआईटी जैसे शैक्षणिक संस्थान एवं साइबरसेफ प्रस्तुत करने वाले साइबरसेफ जैसे विक्रेता सम्मिलित हैं।
प्रोटोकॉल
विवरण
उपयोगकर्ता स्वयं को प्रमाणीकरण सर्वर (एएस) से प्रमाणित करता है जो उपयोगकर्ता नाम को कुंजी वितरण केंद्र (केडीसी) को अग्रेषित करता है। केडीसी टिकट-अनुदान, टिकट (टीजीटी) प्रस्तावित करता है, जिस पर समय अंकित होता है एवं टिकट-अनुदान सेवा (टीजीएस) की गुप्त कुंजी का उपयोग करके इसे एन्क्रिप्ट करता है एवं एन्क्रिप्टेड परिणाम को उपयोगकर्ता के कार्य केंद्र पर रिटर्न करता है। यह सामान्यतः उपयोगकर्ता लॉगऑन पर कभी-कभी ही किया जाता है; टीजीटी किसी बिंदु पर समाप्त हो जाती है, चूंकि इसे उपयोगकर्ता के सेशन प्रबंधक द्वारा लॉग इन करते समय पारदर्शी रूप से नवीनीकृत किया जा सकता है।
जब ग्राहक को किसी अन्य नोड (केर्बरोस भाषा में प्रिंसिपल) पर सेवा के साथ संचार करने की आवश्यकता होती है, तो ग्राहक टीजीटी को टीजीएस पर भेजता है, जो सामान्यतः केडीसी के समान होस्ट शियर करता है। सेवा पूर्व से ही टीजीएस के साथ सर्विस प्रिंसिपल नेम (एसपीएन) के साथ पंजीकृत होनी चाहिए। उपयोगकर्ता इस सेवा के एक्सेस का अनुरोध करने के लिए एसपीएन का उपयोग करता है। यह सत्यापित करने के पश्चात कि टीजीटी वैध है एवं उपयोगकर्ता को अनुरोधित सेवा के एक्सेस की अनुमति है, टीजीएस ग्राहक को टिकट एवं सेशन कुंजी प्रस्तावित करता है। इसके पश्चात उपयोगकर्ता अपने सेवा अनुरोध के साथ टिकट को सर्विस सर्वर (एसएस) को भेजता है।
प्रोटोकॉल का नीचे विस्तार से वर्णन किया गया है।
केर्बरोस के बिना उपयोगकर्ता-आधारित लॉगिन
- उपयोगकर्ता (कंप्यूटिंग) मशीन पर उपयोगकर्ता नाम एवं पासवर्ड अंकित करता है। अन्य क्रेडेंशियल प्रणाली जैसे पीकिनिट (आरएफसी 4556) पासवर्ड के स्थान पर सार्वजनिक कुंजी के उपयोग की अनुमति देते हैं। उपयोगकर्ता पासवर्ड को सममित सिफर की कुंजी में परिवर्तित कर देता है। यह या तो अंतर्निहित कुंजी शेड्यूलिंग का उपयोग करता है, अथवा एकपक्षीय हैश का उपयोग करता है, जो उपयोग किए गए सिफर सूट पर निर्भर करता है।
- सर्वर उपयोगकर्ता नाम एवं सममित सिफर प्राप्त करता है एवं डेटाबेस से डेटा के साथ इसकी तुलना करता है। यदि सिफर उपयोगकर्ता के लिए संग्रहीत सिफर से युग्मित होता है तो लॉगिन सफल था।
ग्राहक प्रमाणीकरण
- उपयोगकर्ता की ओर से सेवाओं का अनुरोध करते हुए एएस (प्रमाणीकरण सर्वर) को उपयोगकर्ता आईडी का क्लेअरटेक्सट संदेश भेजता है। (नोट: एएस को न तो गुप्त कुंजी एवं न ही पासवर्ड भेजा जाता है।)
- एएस यह देखने के लिए परिक्षण करता है कि उपयोगकर्ता उसके डेटाबेस में है या नहीं है। यदि ऐसा है, तो एएस डेटाबेस में प्राप्त हुए उपयोगकर्ता के पासवर्ड को हैश करके गुप्त कुंजी उत्पन्न करता है (उदाहरण के लिए, विंडोज सर्वर में सक्रिय निर्देशिका) एवं उपयोगकर्ता को निम्नलिखित दो संदेश पुनः भेजता है:
- संदेश A: उपयोगकर्ता/टीजीएस सेशन कुंजी उपयोगकर्ता की गुप्त कुंजी का उपयोग करके एन्क्रिप्ट किया गया।
- संदेश B: टिकट-अनुदान-टिकट (टीजीटी, जिसमें उपयोगकर्ता आईडी, उपयोगकर्ता नेटवर्क एड्रेस, टिकट वैधता अवधि एवं उपयोगकर्ता/टीजीएस सेशन कुंजी सम्मिलित है) टीजीएस की गुप्त कुंजी का उपयोग करके एन्क्रिप्ट किया गया है।
- जब उपयोगकर्ता को संदेश A एवं B प्राप्त हो जाता है, तो वह उपयोगकर्ता द्वारा अंकित किए गए पासवर्ड से उत्पन्न गुप्त कुंजी के साथ संदेश A को डिक्रिप्ट करने का प्रयत्न करता है। यदि उपयोगकर्ता द्वारा अंकित किया गया पासवर्ड एएस डेटाबेस में पासवर्ड से युग्मित नहीं होता है, तो उपयोगकर्ता की गुप्त कुंजी भिन्न होगी एवं संदेश A को डिक्रिप्ट करने में असमर्थ होगी। वैध पासवर्ड एवं गुप्त कुंजी के साथ उपयोगकर्ता/टीजीएस सेशन कुंजी प्राप्त करने के लिए संदेश A को डिक्रिप्ट करता है। इस सेशन कुंजी का उपयोग टीजीएस के साथ अग्र संचार के लिए किया जाता है। (नोट: उपयोगकर्ता संदेश B को डिक्रिप्ट नहीं कर सकता, क्योंकि यह टीजीएस की गुप्त कुंजी का उपयोग करके एन्क्रिप्ट किया गया है।) इस बिंदु पर, उपयोगकर्ता के निकट टीजीएस को प्रमाणित करने के लिए पर्याप्त इनफार्मेशन होती है।
ग्राहक सेवा प्राधिकरण
- सेवाओं का अनुरोध करते समय, ग्राहक टीजीएस को निम्नलिखित संदेश भेजता है:
- संदेश C: संदेश B (टीजीएस गुप्त कुंजी का उपयोग करके एन्क्रिप्टेड टीजीटी) एवं अनुरोधित सेवा की आईडी से बना है।
- संदेश D: प्रमाणक (जो उपयोगकर्ता आईडी एवं टाइमस्टैम्प से बना है), उपयोगकर्ता/टीजीएस सेशन कुंजी (संदेश A में उपयोगकर्ता द्वारा पाया गया) का उपयोग करके एन्क्रिप्ट किया गया है।
- संदेश C एवं D प्राप्त करने पर, टीजीएस संदेश C से संदेश B को पुनः प्राप्त करता है। यह टीजीएस गुप्त कुंजी का उपयोग करके संदेश B को डिक्रिप्ट करता है। यह इसे उपयोगकर्ता/टीजीएस सेशन कुंजी एवं उपयोगकर्ता आईडी (दोनों टीजीटी में हैं) देता है। इस उपयोगकर्ता/टीजीएस सेशन कुंजी का उपयोग करके, टीजीएस संदेश D (प्रमाणक) को डिक्रिप्ट करता है एवं संदेश B एवं D से उपयोगकर्ता आईडी की तुलना करता है; यदि वे युग्मित होते हैं, तो सर्वर उपयोगकर्ता को निम्नलिखित दो संदेश भेजता है:
- संदेश E: यूजर-टू-सर्वर टिकट (जिसमें उपयोगकर्ता आईडी, उपयोगकर्ता नेटवर्क एड्रेस, वैधता अवधि एवं उपयोगकर्ता/सर्वर सेशन कुंजी सम्मिलित है) सेवा की गुप्त कुंजी का उपयोग करके एन्क्रिप्ट किया गया है।
- संदेश F: उपयोगकर्ता/सर्वर सेशन कुंजी उपयोगकर्ता/टीजीएस सेशन कुंजी के साथ एन्क्रिप्टेड है।
ग्राहक सेवा अनुरोध
- टीजीएस से E एवं F संदेश प्राप्त करने पर, ग्राहक के निकट सेवा सर्वर (एसएस) पर स्वयं को प्रमाणित करने के लिए पर्याप्त इनफार्मेशन होती है। उपयोगकर्ता एसएस से जुड़ता है एवं निम्नलिखित दो संदेश भेजता है:
- संदेश E: पूर्व चरण से (यूजर-टू-सर्वर टिकट, टीजीएस द्वारा सेवा की गुप्त कुंजी का उपयोग करके एन्क्रिप्ट किया गया)।
- संदेश G: नया प्रमाणक, जिसमें उपयोगकर्ता आईडी, टाइमस्टैम्प सम्मिलित है एवं उपयोगकर्ता/सर्वर सेशन कुंजी का उपयोग करके एन्क्रिप्ट किया गया है।
- एसएस उपयोगकर्ता/सर्वर सेशन कुंजी को पुनः प्राप्त करने के लिए अपनी गुप्त कुंजी का उपयोग करके टिकट (संदेश E) को डिक्रिप्ट करता है। सेशन कुंजी का उपयोग करते हुए, एसएस प्रमाणक को डिक्रिप्ट करता है एवं संदेश E एवं G से उपयोगकर्ता आईडी की तुलना करता है, यदि वे युग्मित होते हैं तो सर्वर उपयोगकर्ता को उसकी वास्तविक पहचान एवं ग्राहक की सेवा करने की इच्छा की पुष्टि करने के लिए निम्नलिखित संदेश भेजता है।
- उपयोगकर्ता/सर्वर सेशन कुंजी का उपयोग करके पुष्टिकरण (संदेश H) को डिक्रिप्ट करता है एवं परिक्षण करता है कि टाइमस्टैम्प उचित है या नहीं। यदि ऐसा है, तो उपयोगकर्ता सर्वर पर विश्वास कर सकता है एवं सर्वर को सेवा अनुरोध प्रस्तावित करना प्रारम्भ कर सकता है।
- सर्वर उपयोगकर्ता को अनुरोधित सेवाएँ प्रदान करता है।
ऑपरेटिंग प्रणाली द्वारा समर्थन
माइक्रोसॉफ्ट विंडोज़
विंडोज़ 2000 एवं उसके पश्चात के संस्करण डिफ़ॉल्ट प्रमाणीकरण विधि के रूप में केर्बरोस का उपयोग करते हैं।[13] केर्बरोस प्रोटोकॉल सुइट में कुछ माइक्रोसॉफ्ट परिवर्धन आरएफसी 3244 माइक्रोसॉफ्ट विंडोज़ 2000 केर्बरोस परिवर्तित पासवर्ड एवं सेट पासवर्ड प्रोटोकॉल में प्रलेखित हैं। आरएफसी 4757 माइक्रोसॉफ्ट द्वारा आरसी4 सिफर के उपयोग का प्रपत्रीकरण करता है। जबकि माइक्रोसॉफ्ट केर्बरोस प्रोटोकॉल का उपयोग एवं विस्तार करता है, यह एमआईटी सॉफ़्टवेयर का उपयोग नहीं करता है।
केर्बरोस को रुचिकर प्रमाणीकरण विधि के रूप में उपयोग किया जाता है: सामान्यतः, किसी उपयोगकर्ता को विंडोज़ डोमेन से संयोजित करने का अर्थ है उस उपयोगकर्ता से विंडोज़ डोमेन में सेवाओं एवं उस डोमेन के साथ विश्वास संबंधों वाले सभी डोमेन के प्रमाणीकरण के लिए डिफ़ॉल्ट प्रोटोकॉल के रूप में केर्बरोस को सक्षम करना है।[13]
इसके विपरीत, जब उपयोगकर्ता या सर्वर या दोनों डोमेन से संयोजित नहीं होते हैं (या विश्वसनीय डोमेन वातावरण का भाग नहीं होते हैं), तो विंडोज़ उपयोगकर्ता एवं सर्वर के मध्य प्रमाणीकरण के लिए एनटीएलएम का उपयोग करेगा।[13]
इंटरनेट वेब एप्लिकेशन एसएसपीआई के अनुसार प्रदान किए गए एपीआई का उपयोग करके डोमेन से संयोजित ग्राहकों के लिए प्रमाणीकरण विधि के रूप में केर्बरोस को प्रस्तावित कर सकते हैं।
माइक्रोसॉफ्ट विंडोज एवं विंडोज सर्वर में setspn कमांड लाइन इंटरफेस उपयोगिता सम्मिलित हैं, जिसका उपयोग सक्रिय निर्देशिका सेवा अकाउंट के लिए सर्विस प्रिंसिपल नेम्स (एसपीएन) को पढ़ने, संशोधित करने या विस्थापित करने के लिए किया जा सकता है।[14][15]
यूनिक्स एवं अन्य ऑपरेटिंग सिस्टम
फ्रीबीएसडी, ओपनबीएसडी, एप्पल के मैकओएस, रेड हैट एंटरप्राइज लिनक्स, सन माइक्रोसिस्टम्स के सोलारिस (ऑपरेटिंग प्रणाली), आईबीएम के एआईएक्स, एचपी-यूएक्स एवं अन्य सहित कई यूनिक्स जैसे ऑपरेटिंग सिस्टम में उपयोगकर्ताओं या सेवाओं के केर्बरोस प्रमाणीकरण के लिए सॉफ्टवेयर सम्मिलित हैं। विभिन्न गैर-यूनिक्स जैसे ऑपरेटिंग सिस्टम जैसे जेड/ओएस, आईबीएम आई एवं ओपनवीएमएस में भी केर्बरोस समर्थन की सुविधा होती है। एम्बेडेड प्लेटफ़ॉर्म पर रन करने वाले उपयोगकर्ता एजेंटों एवं नेटवर्क सेवाओं के लिए केर्बरोस वी प्रमाणीकरण प्रोटोकॉल का एंबेडेड कार्यान्वयन भी कंपनियों से उपलब्ध है।
अभाव एवं सीमाएँ
- केर्बरोस में समय की कठोर आवश्यकताएं हैं, जिसका अर्थ है कि सम्मिलित आतिथ्य की घड़ियों को कॉन्फ़िगर की गई सीमाओं के भीतर सिंक्रनाइज़ किया जाना चाहिए। टिकटों की समय उपलब्धता अवधि होती है, एवं यदि होस्ट घड़ी केर्बरोस सर्वर घड़ी के साथ सिंक्रनाइज़ नहीं है, तो प्रमाणीकरण विफल हो जाएगा। प्रति एमआईटी डिफ़ॉल्ट कॉन्फ़िगरेशन के लिए आवश्यक है कि घड़ी के समय में पाँच मिनट से अधिक का अंतर न हो। व्यवहार में, नेटवर्क टाइम प्रोटोकॉल डेमॉन का उपयोग सामान्यतः होस्ट घड़ियों को सिंक्रनाइज़ रखने के लिए किया जाता है। ध्यान दें कि कुछ सर्वर (माइक्रोसॉफ्ट का कार्यान्वयन उनमें से है) एन्क्रिप्टेड सर्वर समय वाला KRB_AP_ERR_SKEW परिणाम रिटर्न कर सकता है यदि दोनों घड़ियों में कॉन्फ़िगर किए गए अधिकतम मान से अधिक ऑफसेट है। उस स्थिति में, उपयोगकर्ता ऑफसेट शोध करने के लिए दिए गए सर्वर समय का उपयोग करके तथा समय की गणना करके पुनः प्रयत्न कर सकता है। यह व्यवहार आरएफसी 4430 में प्रलेखित है।
- प्रशासन प्रोटोकॉल मानकीकृत नहीं है एवं सर्वर कार्यान्वयन के मध्य भिन्न है। पासवर्ड परिवर्तन आरएफसी 3244 में वर्णित हैं।
- सममित क्रिप्टोग्राफी स्वीकार करने के विषय में (केर्बरोस सममित या असममित (सार्वजनिक-कुंजी) क्रिप्टोग्राफी का उपयोग करके कार्य कर सकता है, क्योंकि सभी प्रमाणीकरण केंद्रीकृत कुंजी वितरण केंद्र (केडीसी) द्वारा नियंत्रित होते हैं, इस प्रमाणीकरण मूलभूत संरचना से निराकरण करने से आक्रमणकारी को किसी भी उपयोगकर्ता का प्रतिरूपण करने की अनुमति देगा।
- प्रत्येक नेटवर्क सेवा जिसे भिन्न होस्ट नाम की आवश्यकता होती है, उसे केर्बरोस कुंजियों के अपने सेट की आवश्यकता होगी। यह वर्चुअल होस्टिंग एवं क्लस्टर को समष्टि बनाता है।
- केर्बरोस को केर्बरोस टोकन सर्वर के साथ विश्वसनीय संबंध रखने के लिए उपयोगकर्ता अकाउंट एवं सेवाओं की आवश्यकता होती है।
- आवश्यक क्लाइंट ट्रस्ट चरणबद्ध वातावरण (उदाहरण के लिए, परीक्षण वातावरण, प्री-प्रोडक्शन वातावरण एवं उत्पादन वातावरण के लिए भिन्न डोमेन) बनाना कठिन करता है: या तो डोमेन ट्रस्ट संबंध बनाने की आवश्यकता होती है जो पर्यावरण डोमेन की पृथकता को बाधित करती है अथवा अतिरिक्त उपयोगकर्ता की आवश्यकता होती है प्रत्येक पर्यावरण के लिए प्रदान किया जाना है।
सुरक्षा
डेटा एन्क्रिप्शन स्टैंडर्ड (डीईएस) सिफर का उपयोग केर्बरोस के साथ संयोजन में किया जा सकता है, किन्तु यह अब इंटरनेट मानक नहीं है क्योंकि यह शक्तिहीन है।[16] सुरक्षा दुर्बलता उन उत्पादों में उपस्थित हैं जो कर्बेरोस के पूर्व संस्करणों को प्रस्तावित करते हैं जिनमें एईएस जैसे नए एन्क्रिप्शन सिफर के लिए समर्थन का आभाव है।
यह भी देखें
- एकल साइन-ऑन
- पहचान प्रबंधन
- एसपीएनईजीओ
- एस/कुंजी
- सुरक्षित रिमोट पासवर्ड प्रोटोकॉल (एसआरपी)
- सामान्य सुरक्षा सेवा एप्लीकेशन प्रोग्राम इंटरफ़ेस (जीएसएस-एपीआई)
- होस्ट आइडेंटिटी प्रोटोकॉल (एचआईपी)
- एकल साइन-ऑन कार्यान्वयन की सारिणी
संदर्भ
- ↑ "Kerberos 5 Release 1.21".
- ↑ RFC 4556, abstract.
- ↑ "केर्बरोस प्रमाणीकरण". IONOS Digitalguide (in English). Retrieved 2022-08-25.
- ↑ Garman 2003, p. 5.
- ↑ Steiner, Jennifer G.; Geer, Daniel E. (21 July 1988). एथेना पर्यावरण में नेटवर्क सेवाएँ. Proceedings of the Winter 1988 Usenix Conference. CiteSeerX 10.1.1.31.8727.
- ↑ Steiner, Jennifer G.; Neuman, Clifford; Schiller, Jeffrey I. (February 1988). Kerberos: An authentication service for open network systems. Proceedings of the Winter 1988 USENIX Conference. CiteSeerX 10.1.1.112.9002. S2CID 222257682.
- ↑ Elizabeth D. Zwicky; Simon Cooper; D. Brent (26 Jun 2000). Building Internet Firewalls: Internet and Web Security. O'Reilly. ISBN 9781565928718.
- ↑ 8.0 8.1 Garman 2003, p. 7.
- ↑ Pröhl & Kobras 2022, p. 7.
- ↑ Garman 2003, pp. 7–8.
- ↑ C., Neuman; J., Kohl (1993). "The Kerberos Network Authentication Service (V5)". doi:10.17487/RFC1510. Archived from the original on 2016-08-21.
{{cite journal}}: Cite journal requires|journal=(help) - ↑ Clifford, Neuman; Sam, Hartman; Tom, Yu; Kenneth, Raeburn (2005). "The Kerberos Network Authentication Service (V5)". doi:10.17487/RFC4120. Archived from the original on 2016-08-21.
{{cite journal}}: Cite journal requires|journal=(help) - ↑ 13.0 13.1 13.2 "What Is Kerberos Authentication?". Microsoft TechNet. Archived from the original on 2016-12-20.
- ↑ Setspn - Windows CMD - SS64.com
- ↑ Setspn | Microsoft Docs
- ↑ Tom, Yu; Love, Astrand (2012). "Deprecate DES, RC4-HMAC-EXP, and Other Weak Cryptographic Algorithms in Kerberos". doi:10.17487/RFC6649. Archived from the original on 2015-10-27.
{{cite journal}}: Cite journal requires|journal=(help)
- General
- Garman, Jason (2003). Kerberos: The Definitive Guide (in English). O'Reilly Media, Inc. ISBN 978-0-596-00403-3.
- Pröhl, Mark; Kobras, Daniel (14 April 2022). Kerberos: Single Sign-on in gemischten Linux/Windows-Umgebungen (in Deutsch). dpunkt.verlag. p. 7.
- Lynn Root (May 30, 2013) (2 April 2013). "Explain like I'm 5: Kerberos". Blog of Lynn Root.
- Microsoft TechNet 2017. "Basic Concepts for the Kerberos Protocol". MSDN Library.
- Resource Kit Team. "Microsoft Kerberos (Windows)". MSDN Library.
- B. Clifford Neuman; Theodore Ts'o (September 1994). "Kerberos: An Authentication Service for Computer Networks". IEEE Communications. 32 (9): 33–8. doi:10.1109/35.312841. S2CID 45031265.
- Kohl, John T.; Neuman, B. Clifford; Ts'o, Theodore Y. (1994). "The Evolution of the Kerberos Authentication System". In Brazier, F. M. T.; Johansen, D (eds.). Distributed open systems. IEEE Computer Society Press. pp. 78–94. CiteSeerX 10.1.1.120.944. ISBN 978-0-8186-4292-0. OCLC 1191406172.
- "Kerberos Overview: An Authentication Service for Open Network Systems". Cisco Systems. 19 January 2006. Retrieved 15 August 2012.
- "How Kerberos Authentication Works". learn-networking.com. 28 January 2008. Retrieved 15 August 2012.
- "What is Kerberos Authentication?: Logon and Authentication". Microsoft TechNet. Retrieved 7 December 2016.
- आरएफसीs
- RFC 1510 The केर्बरोस Network Authentication Service (V5) [Obsolete]
- RFC 1964 The केर्बरोस Version 5 GSS-API Mechanism
- RFC 3961 Encryption and Checksum Specifications for केर्बरोस 5
- RFC 3962 Advanced Encryption Standard (AES) Encryption for केर्बरोस 5
- RFC 4120 The केर्बरोस Network Authentication Service (V5) [Current]
- RFC 4121 The केर्बरोस Version 5 Generic Security Service Application Program Interface (GSS-API) Mechanism: Version 2
- RFC 4537 केर्बरोस Cryptosystem Negotiation Extension
- RFC 4556 Public Key Cryptography for Initial Authentication in केर्बरोस (PKINIT)
- RFC 4557 Online Certificate Status Protocol (OCSP) Support for Public Key Cryptography for Initial Authentication in केर्बरोस (PKINIT)
- RFC 4757 The RC4-HMAC केर्बरोस Encryption Types Used by माइक्रोसॉफ्ट Windows [Obsolete]
- RFC 5021 Extended केर्बरोस Version 5 Key Distribution Center (KDC) Exchanges over TCP
- RFC 5349 Elliptic Curve Cryptography (ECC) Support for Public Key Cryptography for Initial Authentication in केर्बरोस (PKINIT)
- RFC 5868 Problem Statement on the Cross-Realm Operation of केर्बरोस
- RFC 5896 Generic Security Service Application Program Interface (GSS-API): Delegate if Approved by Policy
- RFC 6111 Additional केर्बरोस Naming Constraints
- RFC 6112 Anonymity Support for केर्बरोस
- RFC 6113 A Generalized Framework for केर्बरोस Pre-Authentication
- RFC 6251 Using केर्बरोस Version 5 over the Transport Layer Security (TLS) Protocol
- RFC 6448 The Unencrypted Form of केर्बरोस 5 KRB-CRED Message
- RFC 6542 केर्बरोस Version 5 Generic Security Service Application Program Interface (GSS-API) Channel Binding Hash Agility
- RFC 6560 One-Time Password (OTP) Pre-Authentication
- RFC 6649 Deprecate DES, RC4-HMAC-EXP, and Other Weak Cryptographic Algorithms in केर्बरोस
- RFC 6784 केर्बरोस Options for DHCPv6
- RFC 6803 Camellia Encryption for केर्बरोस 5
- RFC 6806 केर्बरोस Principal Name Canonicalization and Cross-Realm Referrals
- RFC 6880 An Information Model for केर्बरोस Version 5
- RFC 8009 AES Encryption with HMAC-SHA2 for केर्बरोस 5
अग्रिम पठन
- "Novell Inc's Comment to the Proposed Settlement between Microsoft and the Department of Justice, pursuant to the Tunney Act". Civil Action No. 98-1232 (CKK): United States of America v. Microsoft Corporation. Department of Justice. 29 January 2002. Retrieved 15 August 2012.
- Bryant, Bill (February 1988). "Designing an Authentication System: A Dialogue in Four Scenes". Humorous play concerning how the design of Kerberos evolved. MIT.
- Hornstein, Ken (18 August 2000). "Kerberos FAQ, v2.0". Secretary of Navy. Archived from the original on 3 December 2002. Retrieved 15 August 2012.
- Bellovin, S. M.; Merritt, M. (1 October 1990). "Limitations of the Kerberos authentication system". ACM SIGCOMM Computer Communication Review. 20 (5): 119–132. doi:10.1145/381906.381946. S2CID 8014806.
- Neuman, B.C.; Ts'o, T. (September 1994). "Kerberos: an authentication service for computer networks". IEEE Communications Magazine. 32 (9): 33–38. doi:10.1109/35.312841. S2CID 45031265.
- Bella, Giampaolo; Paulson, Lawrence C. (1998). "Kerberos Version IV: Inductive analysis of the secrecy goals". Computer Security — ESORICS 98. Lecture Notes in Computer Science. Vol. 1485. pp. 361–375. doi:10.1007/BFb0055875. ISBN 978-3-540-65004-1.
- Abdelmajid, N.T.; Hossain, M.A.; Shepherd, S.; Mahmoud, K. (2010). "Improved Kerberos Security Protocol Evaluation using Modified BAN Logic". 2010 10th IEEE International Conference on Computer and Information Technology. pp. 1610–1615. doi:10.1109/CIT.2010.285. ISBN 978-1-4244-7547-6. S2CID 6246388.
बाहरी संबंध
Wikimedia Commons has media related to Kerberos.
- केर्बरोस Consortium
- केर्बरोस page at MIT website
- केर्बरोस Working Group at IETF website
- केर्बरोस Sequence Diagram Archived 2015-03-26 at the Wayback Machine
- Heimdal/केर्बरोस implementation
